در مورد رمز عبور حرف زیاد زدیم و بقیه هم حرف زیاد زدن!
بله رمز های ساده انتخاب نکنین،پسورد های خودتونو چند وقت یه بار عوض کنین، پسورد هاتونو هر جایی وارد نکنین....
ولی سوال که باقی مونده اینه که حالا این پسورد امن تازه رو چیکار کنیم؟! کجا نگه داریم که یادمون نره؟
خانم Elinor Mills گزارشگر ویژه "امنیت و حریم خصوصی در اینترنت" در سایت Cnet مطلبی در این مورد نوشته اند که ما ترجمه کردیم و میخوایم در اختیارتون بزاریم.
آقای Bruce Schneier متخصص رمزنگاری هستن.ایشون قبلا عادت داشت رمزهاشونو روی یه تیکه کاغذ مینوشتن و توی کیف پولش نگه میداشت! اما الان از یه نرم افزار رایگان مخصوص ویندوز به نام Password Safe (گاوصندوق رمز عبور) استفاده میکنه که خودش ۵ سال پیش طراحی کرد و در دنیای متن باز قرار داد.
البته آقای Schneier هنوز توصیه میکنه افرادی که کامپیوترشونو حمل نمیکنن از همون روش تیکه کاغذ استفاده کنن.همونطور که روز چهارشنبه (همین ۴ شنبه گذشته) توی یه مصاحبه گفتن که "یا پسوردها رو بنویسید و توی کیف پولتون بزارین یا از یه چیزی مثل Password Safe استفاده کنین".
Phil Zimmermann یه برنامه نویس مشهوره که بزرگترین محصولش نرم افزار PGP هست.ایشون پسوردهاشو توی یه فایل متنی رمزنگاری شده ذخیره میکنه که خودش اینجوری توصیفش میکنه :"سیستم مدیریت پسورد دستی و سنگین"
روشی که Karsten Nohl یه رمزشکنه (Crypto cracker) و روشی که استفاده میکنه از همه ساده تر و در عین حال سخت تره.ایشون تمام پسوردها رو توی مغزش ذخیره میکنه.ایشون میگه: :"من از یه تابع غیر بدیهی برای تنوع دادن به پسوردها استفاده میکنم.هرچیزی که در مورد اون تابع بخوام بگم ممکنه باعث بشه قدرتش کم بشه.امنیت از طریق ابهام، البته این به خاطر اینه که من نمیتونم سری های پیچیده تری از اینی که تا حالا هست رو ذهنی محاسبه کنم"
یک نظرسنجی رسمی از بیش از ۱۲ متخصص امنیت نشون داده که بعضی از آنها هنوز روی روش کاغذ و قلم حساب میکنن.حتی یک پاسخگو اعتراف کرده که از شیوه نوشتن و قرار دادن زیر کیبورد استفاده میکنه!! به هر حال شما اگه از این روش ها استفاده میکنین حداقل حواستون باشه که آدرس وبسایت یا یه چیزی که مشخص کنه پسورد مال کجاست رو همراش ننویسین.
مدیریت پسورد کار جذابی نیست ولی هرکسی که با کامپیوتر تماس داره باید باهاش کنار بیاد.نه تنها مردم هنگام عضو شدن در شبکه های اجتماعی یا سایت های تجارت الکترونیکی باید پسوردهایی با درجه بالایی از گیج کنندگی بسازن و در عین حال هر چند وقت سر کار پسورد خودشونو که تاریخ اعتبارش تموم میشه مجبورن عضو کنن،حالا سیستم های سرقت پسورد جدیدی هم مرتبا به وجود میاد.مثلا همین هفته موزیلا یکی از Add-on یا همون افزونه هاشو حذف کرد چون پسوردهای کاربر رو ذخیره میکرد و به یه سرور راه دور میفرستاد.
راه های مختلفی برای کسانی که میخوان از روش کاغذ و قلمی ارتقا پیدا کنن وجود داره.البته ذکر همه اش طاقت فرسا و غیرممکنه ولی چند تا از جالب ترین هارو به شما معرفی میکنیم:
برای افرادی که همیشه کامپیوترشون رو حمل میکنند سیستم های مدیریت پسورد که روی دسکتاپ ذخیره میشن گزینه خوبی هستن.علاوه بر PasswordSafe که بالا اسمشو بردیم،منابع ما نرم افزار متن باز دیگه ای به اسم KeePass رو هم پیشنهاد میکنن.برای مکینتاش(اپل) هم نرم افزار 1Password با قیمت 39.95 دلار موجوده که آقای Jason Parker (همکار خانم Elinor Mills ) به عنوان "بهترین در کلاس خود برای Mac"معرفی میکنه.
در مورد سیستم های مدیریت پسورد که بر اساس USB باشن کنجکاو بودیم و MyKey رو با قیمت 29.99 دلار امتحان کردیم.متوجه شدم که خیلی خوب کار میکنه ولی چند تا محدودیت داره.فقط با سیستم هایی که ویندوز دارن و MyKey هم روشون نصبه کار میکنه.این یعنی نمیتونم ازش روی کامپیوتر خونه ام که یه Mac هست یا کامپیوتر دوستم که برای تعطیلات ازش قرض گرفتم استفاده کنم.البته با سیستم های دسکتاپ هم نمیشه این کارا رو کرد.
ولی Yubikey یه دستگاه USB دیگه است با قیمت 25 دلار.فرقش با بقیه اینه که با هر سیستم عامل مطرحی کار میکنه و به کلاینت یا برنامه خاصی نیاز نداره.
وقتی از Schneier در مورد ذخیره پسوردها روی دستگاه های USB پرسیدیم جواب داد:"این دقیقا مثل گذاشتن پسورد توی کیف پول میمونه.دارین رمز رو روی یه چیز فیزیکی که سعی میکنین محافظتش کنین ذخیره میکنین.آدما ممکنه کلید یا کیف پولشون رو هم کنن ولی بهتره پسوردها بهتره جایی باشن که احتمال گم شدنش کمتره."
اگه میخواین از یه سیستم مدیریت پسورد استفاده کنین که به هیچ کامپیوتر خاصی وابسته نباشه میتونین از سرویس های میزبانی شده(Hosted Services) استفاده کنید که پسورد شما رو روی کلود ذخیره میکنه.این شیوه تسهیلاتی فراهم میکنه که در روش های دیگه نیست،اما از اون طرف امنیت شما بستگی به کامپیوتری که دارین ازش استفاده میکنین داره.پس موقع استفاده از وب کیوسک ها و کافی نت ها و کلا کامپیوترهای عمومی با حساسیت بیشتری عمل کنید.در ضمن باید به اون شرکت هاستینگ اعتماد کامل داشته باشین و مطمئن باشین که پسورد شما هک نمیشه یا لو نمیره.
آقای Schneier یه مقاله بسیار جالب و کامل در مورد انتخاب پسورد داره که میتونین از اینجا بخونین.Larry Magid هم که از کارکنان CNet هست هم یه مطلب در مورد انتخاب پسوردهای ساده و در عین حال قوی داره که میتونین از اینجا بخونین.موارد دیگری هم که خانم Elinor Mills اضافه کرده رو میتونین از اینجا مشاهده کنین.
مطلب رو با جمله ای از آقای Schneier تمام میکنیم:"پسوردها تا زمانی درست کار میکنن که شما ازشون درست استفاده کنین"
نظرات خودتونو برای ما بنویسین.
آقای مارالانی برای روز پنجشنبه ۳۱/۴/۸۹ حهت تحویل نهایی پروژه ها اطلاع رسانی کنید.ممنونم.
چشم حتما.
خواهش میکنم،وظیفه است.